I dagens digitala samhälle blir det alltmer vanligt att använda sig av e-legitimationer (elektronisk id-handling) för att legitimera sig på internet eller i applikationer. En e-legitimation kan användas för privat bruk för att legitimera sig vid e-tjänster eller i butik, men även på arbetet inom exempelvis vård och omsorg, kommuner och myndigheter som använder och levererar e-tjänster. Det finns idag tre godkända svenska e-legitimationer som kan användas av privatpersoner, vilka är BankID, Freja och Svenska Pass. Det finns även flera e-legitimationer som är godkända att anskaffas via arbetsgivare.
Myndigheten för Digital Förvaltning (Digg) erbjuder organisationer som levererar e-legitimationer att ansöka om att bli utfärdare av Svensk e-legitimation. Det innebär att man som organisation måste bli godkänd av Digg baserat på deras Tillitsramverk för Svensk e-legitimation, vilket omfattar en initial granskning samt årlig internrevision av utfärdarens tekniska arkitektur, finansiella stabilitet, informationssäkerhetsarbete och internkontroll, process för identifiering av personer som ansöker om att få e-legitimation, samt framställande och tillhandahållande av e-legitimationer. Efter ett godkännande får organisationen ”kvalitetsmärket Svensk e-legitimation”, vilket enligt Digg innebär att användare kan känna sig trygga med att det är en säker identitetshandling. Det finns olika tillitsnivåer för e-legitimationerna och Digg granskar tillitsnivå 2, 3 och 4.
För att säkerställa att det är en säker överföring av data och kommunikation över internet, vid exempelvis verifiering av privatpersoner vid legitimering, möjliggör Public Key Infrastructure (”PKI”) en säker elektronisk överföring av information genom att säkra den information som kommuniceras med hjälp av publika och privata nycklar. PKI är en uppsättning av roller, policys, processer, hårdvara och mjukvara som används för att skapa, hantera, lagra och återkalla digitala certifikat, samt hantera publika nycklars kryptering. Digitala certifikat är en elektronisk fil som innehåller information om certifikaten, inklusive certifikatinnehavaren, vilket kan knytas till en privatperson och därmed säkerställa varifrån informationen kommer. Vid legitimering på internet eller i en applikation/e-tjänst kan alltså det digitala certifikatet verifiera vilken individ det är som försöker legitimera sig.
Deloitte har lång och djup erfarenhet av att, i rollen som internrevisorer, granska såväl myndigheter som företag som är godkända utfärdare av Svensk e-legitimation baserat på Diggs Tillitsramverk för Svensk e-legitimation. Vi har även erfarenhet av långa projekt inom identitets- och åtkomsthantering inom olika branscher samt granskning mot WebTrusts Principer och Kriterier för Certifikatutfärdare (inklusive SSL Baseline). Deloitte är en av få leverantörer i Sverige som är licensierade att genomföra WebTrust-revisioner (Enrolled WebTrust practitioners: International - CPA Canada).
Vi erbjuder följande tjänster kopplat till revision och rådgivning av e-legitimationer (”eID”) och intygsfunktioner (”IdP”):